Datengesetz (DSG) und Datenschutzverordnung (DSV): Das wichtigste in Kürze
Am 1. September 2023 ist das totalrevidierte Datenschutzgesetz (DSG) und die neue Datenschutzverordnung (DSV) in Kraft getreten. In diesem Artikel listen wir die wichtigsten Punkte auf, welche Betreiber von Websites beachten sollten.
DSG und DSGO / GDPR
Der Bundesrat hat an seiner Sitzung vom 31. August 2022 entschieden, dass das totalrevidierte Datenschutzgesetz (DSG) und die neue Datenschutzverordnung (DSV) am 1. September 2023 in Kraft treten in der Schweiz. Zudem gilt die Datenschutz-Grundverordnung (DSGVO / GDPR) bereits seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten.
In diesem Artikel listen wir die wichtigsten Punkte auf, welche Betreiber:innen von Websites beachten sollten.
CMS Systeme wie zB WordPress oder Drupal
Grundsätzlich kein Problem hinsichtlich Datenschutz. Die folgenden Punkte sind zu beachten:
- Kommentarfunktionen können gegen DSV / DSGVO verstossen
- Immer https Verschlüsselung einsetzen
- Google Fonts von den eigenen Servern laden und nicht über Google Server beziehen
Datenschutzerklärung
Die Datenschutzerklärungen müssen auf der Website eingebunden werden. Und diese müssen die wichtigsten Services beinhalten. Services können sein (Liste nicht abschliessend):
- Analytics Tools
- Embeds von Videos wie Youtube oder Vimeo
- Tracking Pixels, Cookies für Advertising Services wie Google Adsense, Facebook, LinkedIn, Pinterest, Instagram,…
- Einsatz von Newsletter Tools wie Mailchimp, Campaign Monitor,…
- Google reCAPTCHA
- Einbindung von Social Media
Impressum
Die Website muss ein Impressum enthalten. Darin muss stehen, wer die Website betreibt.
Kontaktformulare
Es scheint nicht klar zu sein, ob bei einer Übermittlung von Kontaktformularen eine Checkbox integriert werden muss, welche besagt „Ich habe die Datenschutzerklärung gelesen und stimme der Nutzung meiner Daten…“. Was aber sicher ist: die Datenübermittlung muss https verschlüsselt sein. Ebenso empfiehlt es sich, die Daten aus den Kontaktformularen regelmässig zu löschen.
Analytics
Es ist unklar, ob der Einsatz von Google Analytics zulässig ist oder nicht (siehe auch weiter unten Schrems II Problematik). Beim Einsatz von GA3 ist darauf zu achten, dass die IPs anonymisiert werden und die Daten nicht zu lange gespeichert werden. Besonders risikoaverse Berteiber:innen können auf Tools wie Matomo oder serverseitige Tools wie Jentis setzen.
Social Media Sharing Buttons
Die Nutzung von Social Media Buttons sind unproblematisch, solange keine Daten gesendet werden. Achtung bei der Implementierung von FB Like Buttons oder anderen von Sozialen Netzwerken zur Verfügung gestellten Snippets.
Cookie
Um sicher zu gehen, empfehlen wir den Einsatz von einer richtigen Cookie Lösung wie Cookie Pro.
Für die EU wird ein echter Cookie Consent benötigt, also ein Cookie Banner mit „Hard Opt-in“. Cookies, die technisch nicht notwendig sind, werden nur nach ausdrücklicher Einwilligung der Nutzer:innen gesetzt. Unser Tool: CookiePro von One Trust.
In der Schweiz darf Tracking grundsätzlich ohne Einwilligung der betroffenen Nutzer:innen erfolgen, solange das keine besonders schützenswerten Daten wie z.B. Daten zur Gesundheit sind. Aber da die Websites auch von Nutzer:innen aus der EU besucht werden, muss die Website einen Cookie Banner haben.
Abmahnungen hat es bisher noch keine gegeben. Und natürlich gibt es auch die Möglichkeit zu warten, bis es erste Abmahnungen gibt und erst dann zu reagieren.
3rd Party Services (Hosting, Mailing Tools,…)
Mit 3rd Party Services sind Services (meist SAAS) von weiteren Unternehmen gemeint. Das können sein: Mailing Tools, CRM Systeme, CDN Netzwerke wie Cloudflare oder Fastly aber auch Hosting Unternehmen.
Wenn diese Services DSGVO-konform sind und ein AV-Vertrag besteht, gehen wir davon aus, dass die Nutzung OK ist. Bei allen Services aus den USA (und das sind sehr viele….) besteht die unten erwähnte Schrems II Problematik. Wir gehen davon aus, dass der Einsatz von Microsoft Cloud Services und Azure OK ist. Zumindest nicht verboten. Ein entsprechenden Ratschlag hat der Schweizerische Datenschutzbeauftragte für die SUVA erteilt. Siehe mehr Details zur SUVA hier.
Schrems II Problematik
Der Europäische Gerichtshof hat mit dem Urteil vom 16. Juni 2020 klargestellt, dass personenbezogene Daten von EU Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz geniessen wie in der EU. Für die USA hat er ein solches angemessenes Schutzniveau verneint. Im Kontext von Dream Production: Rumänien ist als EU Mitglied ein Land mit angemessenen Schutzniveau. Eine Datenübermittlung nach Rumänien ist daher datenschutzrechtlich kein Problem (Link zu PDF mit Länderliste Schweiz).
Die heutige Absicherung für Services von US Firmen gegenüber der DSGVO mit Standardvertragsklauseln ist aufwändig und mit viel Rechtsunsicherheit verbunden. So müsste in vielen Fällen vor dem Daten-Export ein Transfer Impact Assessment (TIA) erstellt werden und es wären zusätzliche Schutzmassnahmen erforderlich. Kleine und mittlere Unternehmen haben praktisch keine andere Wahl als den Datenexport häufig ohne genügend Absicherung riskieren.
Mit einer Einigung der EU auf ein neues Trans-Atlantic Data Privacy Framework, welches im Moment besprochen wird, besteht die Hoffnung, dass der Datenexport aus Europa in die USA bald wieder effizient und mit einer gewissen Rechtssicherheit abgesichert werden kann.
Die Schweiz hat das Trans-Atlantic Data Privacy Framework am 22.10.2022 zur Kenntnis genommen und bearbeitet dieses. Es sind noch keine Beschlüsse gefasst worden. (Link)